Raccogliere i log vsftpd
Questo documento spiega come importare i log vsftpd in Google Security Operations utilizzando l'agente Bindplane.
vsftpd (Very Secure FTP Daemon) è un server FTP che genera messaggi syslog per connessioni FTP, trasferimenti di file, eventi di autenticazione e attività della sessione.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e il server vsftpd
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
- Accesso root o sudo al server vsftpd
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/vsftpd: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: VSFTPD raw_log_field: body service: pipelines: logs/vsftpd_to_chronicle: receivers: - udplog exporters: - chronicle/vsftpd
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
listen_address: Indirizzo IP e porta da ascoltare:0.0.0.0per ascoltare su tutte le interfacce (consigliato)- La porta
514è la porta syslog standard (richiede l'accesso root su Linux; utilizza1514per l'accesso non root)
Configurazione dell'esportatore:
creds_file_path: percorso completo del file di autenticazione importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID cliente copiato dalla console Google SecOpsendpoint: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per un elenco completo, vedi Endpoint regionali.
- Stati Uniti:
Salvare il file di configurazione
- Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
- Linux: premi
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Configura l'inoltro di syslog per vsftpd
Modifica il file di configurazione vsftpd:
sudo nano /etc/vsftpd.confImposta i parametri come segue:
syslog_enable=YES log_ftp_protocol=YESConfigura rsyslog per inoltrare i log vsftpd. Modifica
/etc/rsyslog.confo crea un nuovo file/etc/rsyslog.d/vsftpd.conf:sudo nano /etc/rsyslog.d/vsftpd.confAggiungi la seguente regola di forwarding (sostituisci
<bindplane-ip>con l'indirizzo IP dell'agente Bindplane):if $programname == 'vsftpd' then @<bindplane-ip>:514Riavvia vsftpd e rsyslog per applicare le modifiche:
sudo systemctl restart vsftpd sudo systemctl restart rsyslog
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
certificate |
security_result.detection_fields.key: "cert"security_result.detection_fields.value: valore di certificate |
Il valore del campo certificate è mappato a un oggetto security_result.detection_fields con la chiave "cert". |
cipher |
network.tls.cipher |
Il valore del campo cipher viene mappato direttamente. |
client_ip |
principal.ip |
Il valore del campo client_ip viene mappato direttamente. |
date |
metadata.event_timestamp |
Utilizzato con month, year e time per creare metadata.event_timestamp. Il formato viene derivato dal campo timestamp nel log non elaborato, analizzato e convertito in un oggetto timestamp. |
day |
metadata.event_timestamp |
Utilizzato con month, year e time per creare metadata.event_timestamp. |
desc |
metadata.description |
Il valore del campo desc (estratto dal campo type) viene mappato direttamente. Ciò vale per le operazioni "MKDIR", "RMDIR" e "DELETE". |
description |
network.ftp.commandsecurity_result.descriptiontarget.file.full_path |
Se type è "FTP command", il valore viene mappato a network.ftp.command. Se type è "DEBUG" e non corrisponde a pattern SSL specifici, viene mappato a security_result.description. Se type inizia con "OK" e non è "OK LOGIN" e il log descrive un'operazione sui file (MKDIR, RMDIR, DELETE), viene mappato a target.file.full_path. |
file_name |
target.file.full_path |
Il valore del campo file_name viene mappato direttamente. |
file_size |
network.received_bytesnetwork.sent_bytes |
Se type è "OK DOWNLOAD" o "FAIL DOWNLOAD", il valore viene convertito in un numero intero senza segno e mappato a network.received_bytes. Se type è "OK UPLOAD" o "FAIL UPLOAD", il valore viene convertito in un numero intero senza segno e mappato a network.sent_bytes. Imposta su "USER_LOGIN" se type è "OK LOGIN". Imposta "FILE_UNCATEGORIZED" se type è correlato a operazioni sui file ("OK UPLOAD", "OK DOWNLOAD", "FAIL DOWNLOAD", "OK MKDIR", "OK RMDIR", "OK DELETE", "FAIL UPLOAD"). Imposta "STATUS_UPDATE" per tutti gli altri valori di type. È sempre impostato su "VSFTPD". È sempre impostato su "VSFTPD". È sempre impostato su "VSFTPD". |
month |
metadata.event_timestamp |
Utilizzato con day, year e time per creare metadata.event_timestamp. |
pid |
principal.process.pid |
Il valore del campo pid viene mappato direttamente. |
response_code |
network.http.response_code |
Il valore del campo response_code viene convertito in un numero intero e mappato. |
reused_status |
security_result.detection_fields.key: "reused status"security_result.detection_fields.value: valore di reused_status |
Il valore del campo reused_status viene mappato a un oggetto security_result.detection_fields con la chiave "reused status". |
speed |
additional.fields.key: "download_speed" o "upload_speed"additional.fields.value.string_value: valore di speed |
Se type è "OK DOWNLOAD" o "FAIL DOWNLOAD", il valore viene mappato a additional.fields con la chiave "download_speed". Se type è "OK UPLOAD" o "FAIL UPLOAD", il valore viene mappato a additional.fields con la chiave "upload_speed". |
ssl_shutdown_state |
security_result.detection_fields.key: "SSL Shutdown State"security_result.detection_fields.value: valore di ssl_shutdown_state |
Il valore del campo ssl_shutdown_state viene mappato a un oggetto security_result.detection_fields con la chiave "SSL Shutdown State". |
ssl_version |
network.tls.version |
Il valore del campo ssl_version viene mappato direttamente. |
time |
metadata.event_timestamp |
Utilizzato con day, month e year per creare metadata.event_timestamp. |
type |
metadata.descriptionsecurity_result.action_details |
Il valore del campo type è mappato su metadata.description, tranne quando è "OK LOGIN". Viene anche mappato a security_result.action_details quando indica un'azione di autorizzazione o blocco (inizia con "OK" o "FAIL"). |
userid |
principal.user.useridtarget.user.userid |
Se type è "OK LOGIN", il valore viene mappato a target.user.userid. In caso contrario, viene mappato a principal.user.userid. |
year |
metadata.event_timestamp |
Utilizzato con day, month e time per creare metadata.event_timestamp. Imposta su "NETWORK" se type è "OK LOGIN". Imposta su "MACHINE" se type è "OK LOGIN". Imposta "ALLOW" (CONSENTI) se type inizia con "OK". Imposta su "BLOCK" se type inizia con "FAIL". |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.